Der Chef, der keiner ist: Business-Risiko Fake President Trick
„Hallo, ich bin`s, der CEO. Können Sie mir mal schnell 4.000 Euro überweisen.“ Was abwegig klingt, ist eine beliebte Masche bei Cyberkriminellen: der sogenannte Fake President Trick. Dabei gehen die Kriminellen nicht immer so stümperhaft vor, dass die Masche sofort auffliegt. Zwischen den Jahren 2013 und 2016 haben Kriminelle damit weltweit 5,3 Milliarden Dollar ergaunert, auch Facebook und Google waren schon betroffen. Genauso wie ein Kunde von exali.de in einem aktuellen Schadenfall…
Echter Schadenfall: Wenn der CEO Geschenkkarten braucht…
Unser Versicherter in diesem echten Schadenfall, der kürzlich in unserer Kundenbetreuung landete, ist ein Start-up aus der Software-Branche. Zum Hintergrund: Der CEO des Unternehmens ist gleichzeitig der Gründer und unter den Mitarbeitern bekannt.
Einer davon erhielt eines Tages eine Mail des vermeintlichen CEO, die er auf seinem Smartphone öffnete. Der CEO bat den Mitarbeiter darin um einen Gefallen: er brauche dringend Google Play Store Geschenkkarten im Wert von 1.500 Euro und könne sie derzeit selbst nicht besorgen. Der Mitarbeiter ging daraufhin in mehrere Läden, kaufte 15 Karten á 100 Euro und übermittelte dem vermeintlichen Firmengründer die Codes. Zudem übersandte er auf Wunsch noch Fotos der Karten.
Erst als der CEO sich damit immer noch nicht zufrieden gab und nun weitere Geschenkkarten anderer Anbieter von seinem Mitarbeiter forderte, wurde dieser stutzig und antwortete nicht mehr auf die E-Mails. Leider zu spät: Die 1.500 Euro für die Wertkarten waren verloren. Der vermeintliche CEO war – Überraschung – nicht der Gründer und CEO des Start-ups, sondern ein Betrüger.
1.500 Euro Schaden durch falschen CEO
Das über exali.de versicherte Start-up meldete den Schaden bei uns und der Versicherer bezahlte die 1.500 Euro abzüglich des vereinbarten Selbstbehalts. Zudem rieten wir dem Unternehmen, ihre Mitarbeiter (noch mehr) im Hinblick auf die Cybercrime-Gefahren zu schulen und auf den Fake President Trick aufmerksam zu machen. Denn wäre der Mitarbeiter mehr sensibilisiert gewesen, hätte er an diesen Anzeichen erkennen können, dass es sich beim E-Mail-Absender nicht um den richtigen CEO handelte:
- Die E-Mail enthielt einen merkwürdigen Disclaimer in anderer Sprache
- Die E-Mail-Adresse des vermeintlichen CEO enthielt eine Endung, die nichts mit dem Unternehmen zu tun hat
- Der Cyberkriminelle alias CEO übte starken Druck auf den Mitarbeiter aus und teilte ihm routinemäßig mit, was er als nächstes tun soll.
Twitter gekapert: Über 100.000 Euro Schaden
Auch Twitter hatte im Juli 2020 mit Social Engineering zu kämpfen. Gleich mehrere Twitter-User waren sich einig, dass sich eine Investition in Bitcoins über einen bestimmten Link auszahlen würde. Viele vertrauenswürdige Accounts sprachen sich unabhängig voneinander dafür aus. Handelte es sich also um eine solide Geldanlage? Unter den Usern waren verifizierte Accounts wie die von Bill Gates, Barack Obama oder Elon Musk, die auch noch jeden eingezahlten Dollar verdoppeln wollten. Klingt fast schon zu gut, um wahr zu sein? Ist es auch. Wer hier eine Sicherheitslücke bei Twitter oder einer Software vermutet, liegt allerdings falsch. Auch hier handelt es sich um einen Social Engineering Schaden. Laut Twitter habe ein Angestellter die Zugangsdaten zu einem internen Tool herausgegeben. Dort wurden die E-Mail-Adressen, die bei den Accounts hinterlegt waren, geändert. So wurde den Cyberkriminellen die Türe geöffnet. Ob der Twitter-Mitarbeiter getäuscht wurde oder sich bestechen ließ, wird momentan noch untersucht. Der entstandene Schaden wird auf 120.000 Dollar (knapp über 100.000 Euro) geschätzt.
Alles gar nicht so neu: 40 Millionen Euro weg - Der Fall Leoni
Im Jahr 2016 sorgte der Fall des Nürnberger Autozulieferers Leoni für Aufsehen. Insgesamt 40 Mio. Euro hatte die AG auf ausländische Konten überwiesen. Das Geld war weg, die Aktie stürzte ab. In einer Adhoc-Mitteilung gab das Unternehmen bekannt, es sei „Opfer betrügerischer Handlungen unter Verwendung gefälschter Dokumente und Identitäten sowie Nutzung elektronischer Kommunikationswege“ geworden. Die Fake President Masche ist also nicht neu. Bereits damals bedienten sich die Kriminellen interner Informationen, spähten Accounts aus und verschickten falsche Anweisungen im Namen von Vorständen und Geschäftsführern. Leoni erhielt letztendlich 5 Millionen Euro durch eine Vertrauensschadenversicherung zurück und arbeitete intern den Fall auf. Aufgrund von Regelverstößen seien personelle Konsequenzen gezogen worden, interne Kontrollsysteme wurden ausgeweitet und überprüft sowie Mitarbeiter zum Fake President Trick geschult.
Fake President Trick: Cyberkriminelle werden immer „besser“
Sie denken jetzt: Das kann mir nicht passieren? Die Wahrheit ist jedoch: Jedem Unternehmen kann der Fake President Trick gefährlich werden. Denn die Chef-Masche wird immer beliebter und die Kriminellen immer kreativer. Stümperhaft verfasste Mails sind dabei die Ausnahme. Mittlerweile arbeiten sie mit Künstlicher Intelligenz, die Stimmen nachmachen kann oder verschicken Mails an zahlungsberechtigte Mitarbeiter, die täuschend echt sind und sogar Firmen-Interna enthalten (die heutzutage oft keine mehr sind, weil über das Internet und Social Media auch Insider-Wissen abgefragt werden kann). Nicht immer geht es direkt um eine Überweisung, oft werden auch Daten abgefragt und diese dann genutzt, um Konten zu sperren und Lösegeld zu erpressen.
Künstliche Intelligenz kann Stimmen imitieren
In einem Fall aus Großbritannien wurde der CEO eines Energieversorgers vom vermeintlichen CEO des deutschen Mutterkonzerns angerufen. Er sollte an einen Zulieferer 220.000 Euro überweisen, das Geld werde dann vom Mutterkonzern zurückerstattet. Als Grund für das Vorgehen nannte der Fake-CEO die Zeitverschiebung zwischen Deutschland und Großbritannien und wies auf eine ansonsten verpasste Zahlungsfrist hin. Auch hier nutzten die Cyberkriminellen ein Programm, das die Stimme des deutschen CEO inklusive Akzent perfekt imitierte. Das Geld wurde wie gewünscht überwiesen. Als der Betrug auffiel, waren die 220.000 Euro verloren.
Auch die Funk-Gruppe berichtet von Fake-President-Attacken über mehrere Jahre, die eine steile Lernkurve der Kriminellen zeigen bis hin zu real existierenden Unternehmensberatern, die mit in die Betrugsversuche „integriert“ wurden.
Aktuell wird zudem die Corona-Krise für den Fake President Trick ausgenutzt. Da momentan viele Mitarbeiter im Homeoffice arbeiten, geben sich die Betrüger als Mitarbeiter der IT-Abteilung aus und fordern unter einem Vorwand die Login-Daten des Opfers. Mit den Daten sperren die Cyberkriminellen dann Zugänge und geben sie nur gegen Lösegeldzahlung wieder frei. Es gibt aber auch Fälle, in denen die Kriminellen E-Mails an die Kunden eines Unternehmens verschickten und diesen vermeintlich neue Bankverbindungen für die Beitragszahlungen mitteilten.
So enttarnen Sie den Fake President Trick
Wichtig ist es deshalb, dass Sie sich über die aktuellen Maschen der Cyberkriminellen auf dem Laufenden halten und Ihre Mitarbeiter darüber informieren. Diese Anzeichen sprechen für eine Fake President Attacke:
- Die E-Mail enthält keine oder eine veränderte Signatur
- Die Anrede, der Inhalt der Mail oder die Grußformel weichen vom üblichen Sprachgebrauch im Unternehmen ab
- Sie werden auf einmal geduzt bzw. gesiezt, obwohl sonst das Gegenteil der Fall ist
- Anrufe erfolgen mit unterdrückter Rufnummer
- Aufforderungen zur Überweisung von Beträgen kommen nicht vom unmittelbaren Vorgesetzten, sondern von höheren Führungskräften (evtl. sogar von Tochtergesellschaften oder anderen Standorten des Unternehmens)
- Es handelt sich um ungewöhnlich hohe Summen, die überwiesen werden sollen
Unternehmen vor Fake President Trick schützen
Informieren Sie in jedem Fall Ihre Mitarbeiter darüber, wie sie betrügerische Mails erkennen. Daneben gibt es noch weitere Maßnahmen, mit denen Sie dafür sorgen können, dass die Betrüger in Ihrem Unternehmen keine Chance haben:
- Geben Sie klare Anweisungen zum Ablauf von Zahlungsaufträgen und Überweisungen. Jeder Mitarbeiter im Unternehmen muss wissen, wer Zahlungsaufträge erteilen darf und wer nicht
- Führen Sie ein Mehr-Augen-Prinzip ein, legen Sie dieses schriftlich fest und stellen Sie sicher, dass der Prozess für jeden Mitarbeiter jederzeit einsehbar ist
- Machen Sie deutlich, dass die Vorgaben immer eingehalten werden, auch bei (vermeintlich) vertraulichen Transaktionen
- Führen Sie regelmäßige Schulungen durch, evtl. mit Test-Mails (sogenannte Social Engineering Tests)
Weitere Informationen zu Social Engineering gibt es in unserem Artikel: Social Engineering: Wie der Mensch zum Risiko wird und wie sich Unternehmen schützen können.
Kein Fake: Die Berufshaftpflicht über exali.de
Ob Fake President Trick oder andere Cybercrime-Maschen: Mit einer Berufshaftpflichtversicherung über exali.de ist Ihr Unternehmen geschützt. Schäden durch Social Engineering oder auch Vertrauensschäden durch eigene Mitarbeiter (zum Beispiel Griff in die Unternehmenskasse) sind in allen Versicherungen mitversichert.
Ihren Versicherungsschutz können Sie außerdem mit dem Zusatzbaustein Datenschutz- und Cyber-Eigenschaden-Deckung (DCD) erweitern. Dann übernimmt der Versicherer auch die Kosten für die Wiederherstellung und Bereinigung Ihrer eigenen IT-Systeme.
Sie wollen lieber eine eigenständige und flexible Lösung für Cyber-Risiken? Dann können Sie die Cyber-Versicherung auch als „Stand-alone-Lösung“ abschließen und sich mit verschiedenen Modulen Ihre ganz individuelle Cyber-Versicherung zusammenstellen.
Wenn Sie selbst als Geschäftsführer, Manager oder Mitarbeiter mit Sonderfunktion (zum Beispiel Compliance-Beauftragter) auf den Fake President Trick hereinfallen und damit Ihr Unternehmen schädigen, kann es sein, dass Sie dafür persönlich haften müssen. Für die Absicherung von Geschäftsführern, Vorständen und Beauftragten gibt es die D&O-Versicherungen über exali.de. Auch grob fahrlässiges Handeln ist damit abgesichert.

Wer bin ich?
Nach einem Volontariat und ein paar Jahren in der Unternehmenskommunikation bin ich nun bei exali als Chefredakteurin in der Online-Redaktion für Content aller Art zuständig.
Was mag ich?
Sommer, Reisen, gutes Essen und Fußball.
Was mag ich nicht?
Bahn fahren, Rosenkohl und Schleimer.